Malware celularë Snowblind

Një malware i ri Android i gjurmuar si Snowblind shfrytëzon një veçori sigurie për të anashkaluar mbrojtjen aktuale kundër ndërhyrjeve në aplikacionet që menaxhojnë të dhënat e ndjeshme të përdoruesit. Snowblind synon të ripaketojë aplikacionet e synuara në mënyrë që ata të mos zbulojnë keqpërdorimin e shërbimeve të aksesueshmërisë. Kjo lejon që malware të kapë të dhëna të përdoruesit si kredencialet ose të fitojë telekomandë për të kryer aktivitete me qëllim të keq.

Ajo që e dallon Snowblind nga malware të tjerë Android është shfrytëzimi i tij i 'seccomp' (secure computing), një veçori e kernelit Linux që përdoret nga Android për kontrollet e integritetit të aplikacionit. Ky funksion synon të mbrojë përdoruesit nga veprimet e pasigurta si ripaketimi i aplikacionit.

Shfrytëzimi i veçorive të sigurisë për komprometimin e pajisjeve

Analiza e Snowblind zbulon metodën e saj inovative për të sulmuar aplikacionet Android përmes shfrytëzimit të veçorisë së kernelit Linux 'seccomp'. Seccomp është një mekanizëm sigurie që kufizon thirrjet e sistemit (syscalls) që aplikacionet mund të kryejnë, duke reduktuar kështu sipërfaqen e sulmit të tyre. I integruar fillimisht nga Google në Android 8 (Oreo), seccomp u implementua brenda procesit Zygote, procesi prind për të gjitha aplikacionet Android.

Snowblind synon në mënyrë specifike aplikacionet që trajtojnë të dhëna të ndjeshme duke injektuar një bibliotekë vendase që ngarkon përpara mekanizmave kundër ndërhyrjeve. Ai instalon një filtër seccomp për të përgjuar syscalls si 'open()', që përdoret zakonisht për qasje në skedarë. Gjatë kontrolleve të manipulimit të APK-së së aplikacionit të synuar, filtri seccomp i Snowblind parandalon thirrjet e paautorizuara të sistemit dhe aktivizon një sinjal SIGSYS, duke treguar një argument të pavlefshëm syscall.

Për të anashkaluar zbulimin, Snowblind instalon një mbajtës sinjali për SIGSYS. Ky trajtues inspekton dhe modifikon regjistrat e thread-it, duke i mundësuar malware të manipulojë argumentet e syscall 'open()'. Studiuesit shpjegojnë se ky manipulim ridrejton kodin kundër ndërhyrjeve për të parë një version të pandryshuar të APK-së.

Për shkak të qasjes së tij të synuar, filtri seccomp imponon ndikim minimal në performancë dhe gjurmë operacionale, duke e bërë të pamundur që përdoruesit të zbulojnë anomalitë gjatë përdorimit të rregullt të aplikacionit.

Snowblind i lejon sulmuesit të kryejnë veprime të ndryshme të dëmshme

Metoda e përdorur në sulmet Snowblind duket të jetë relativisht e panjohur dhe studiuesit tregojnë se shumica e aplikacioneve nuk janë të pajisura për t'u mbrojtur kundër saj. Ky lloj sulmi funksionon në mënyrë diskrete, duke paraqitur një rrezik të konsiderueshëm të kompromentimit të kredencialeve të hyrjes. Për më tepër, malware ka aftësinë të çaktivizojë veçoritë kritike të sigurisë së aplikacionit, siç janë vërtetimi me dy faktorë dhe verifikimi biometrik.

Sulmuesit mund ta përdorin këtë teknikë për të hyrë në informacione të ndjeshme në ekran, për të naviguar pajisjet, për të manipuluar aplikacionet dhe për të anashkaluar protokollet e sigurisë duke automatizuar veprimet që zakonisht kërkojnë ndërveprimin e përdoruesit. Për më tepër, ata mund të nxjerrin informacion personal të identifikueshëm dhe të dhëna transaksioni.

Shtrirja e ndikimit të fushatës së sulmit Snowblind në aplikacione mbetet e paqartë. Për më tepër, ekziston shqetësimi se aktorë të tjerë kërcënimi mund të miratojnë këtë metodë për të shmangur mbrojtjen e Android në të ardhmen.